Борьба с мошенничеством и фрод-аналитика

1) Зачем это нужно

Цель фрод-контура — снижать финансовые потери (чарджбеки, бонус-абьюз, обналичивание), защищать игроков от ATO и поддерживать регуляторный/партнерский комплаенс, не разрушая UX. Основа — риск-ориентированный подход (RBA), при котором ресурсы направляются туда, где риск и ущерб максимальны.

2) Таксономия угроз (iGaming-контекст)

1. Мультиаккаунтинг (фермы, прокси-роутинг, клоны документов).
2. Бонус-абьюз (орбиты аккаунтов, «карусель» депозит→вывод, промо-арбитраж).
3. Account Takeover (ATO) (фишинг, лики паролей, SIM-swap).
4. Коллюзия (координация ставок/игры; P2P/турниры, PvP-слоты/миссии).
5. Чарджбек-фрод (friendly fraud, тестирование карт, посредники).
6. Платежные схемы (третьи лица, «мулы», обналичивание через быстрые кэшауты).
7. Док-фрод/KYC-байпас (синтетические личности, дипфейки, боты).
8. Бот-активность (скрипты регистрации/входа/ставок, эмуляторы).
9. Аффилиатный фрод (куки-стафинг, мотивированный трафик, скрытые редиректы).
10. Эксплойт механик (ошибки в лимитах, RTP-дрифт, баги турниров/квестов).

3) Данные и фичи (что собирать и как готовить)

Идентификационные: email/телефон, отпечаток устройства, браузерные сигналы, геолокация/IP-ASN.
KYC/KYB/KYA: качество документов, селфи-ливнесс, совпадение имени плательщика.
Платежные: BIN/issuer, совпадение страны IP↔BIN↔документ, частота/суммы, возвраты/чарджбеки.
Игровые: скорость ставок, дисперсия, корреляции с другими аккаунтами, «минимальный риск».
Поведенческие: длительность сессий, переходы, скорость форм-филлинга, ошибочные вводы.
Графовые: связность по устройствам/картам/адресам/айпи/аффилиату.
Служебные: флаги антибот-систем, качество аффилиатного трафика, версии клиента.

Фиче-стор: единое версионируемое хранилище признаков с онлайн/офлайн консистентностью (милисекундный доступ для скоринга).

4) Детерминированные правила (быстрые контроли)

• R-01: IP-страна ≠ BIN-страна и ≠ страна документа → +25 к риску, ручной чек при WD.
• R-02: ≥3 разных платежных инструмента за 24ч → +15.
• R-03: депозит→запрос на вывод < X минут при низком игровом риске → +30, заморозка WD.
• R-04: корреляция по устройству/адресу с ранее заблокированным аккаунтом → блок до ревью.
• R-05: fail ливнес/антибот → жесткое KYC, запрет бонусов.
• R-06: несоответствие владельца платежного средства профилю → запрос SOF/подтверждения.

Советы: версионируйте правила, используйте канареечные включения и обратную связь от кейс-команды.

5) ML-скоринг (гибкость и снижение FP)

Модели: градиентный бустинг/деревья, логрег, для графов — GNN/Node2Vec, для текста — простые эмбеддинги заявок.
Цели: вероятность ATO/чарджбека/бонус-абьюза в горизонте N дней.
Фичи: устройства, платежи, граф связей, временные ряды ставок, аффилиатные метки качества.
Объяснимость: SHAP/Reason Codes для саппорта и апелляций.
Дрифт: мониторинг PSI/колебаний метрик, автокалибровка порогов.

6) Графовая аналитика

Вершины: аккаунты, устройства, карты, адреса, IP, аффилиаты.
Ребра: «использует/подключен к/принадлежит/зачислял/выводил».
Паттерны: кластеры «ферм», треугольники переводов, «звезды» с общим устройством.
Использование: приоритизация кейсов (центр кластера выше), запрет групповых выплат до ревью.

7) Антибот и ливнесс

Device fingerprint + поведенческая биометрия (движение мыши/тайминги).
Liveness (пассивный/активный), анти-спуф (маски, реплеи).
Эмуляторы/автокликеры: сигналы ADB/эмуляторов, паттерны событий UI.
Rate limits/капчи адаптивно, без убийства конверсии.

8) Контроли по сценариям

8.1 Бонус-абьюз

Ступенчатые бонусы (отложенный бонус/релизы по обороту), лимиты на FTD-бонусы, «cooldown» по аффилиату/устройству.
Графовые лимиты (на «семью» аккаунтов/устройств).
Прозрачные условия, анти-ориентирация ставок на минимальный риск.

8.2 ATO

MFA/пуш-подтверждения, риск-based логин (новое устройство/IP → доп. проверка).
Тайные маркеры в почте/СМС, троттлинг ресетов пароля.
Сигналы «не я» и быстрый лоч через приложение.

8.3 Чарджбеки

3-D Secure/доверенные методы, velocity-правила.
Совпадение владельца карты/счета, «same method» для WD.
Досье доказательств для диспутов (логи входов, IP, сессии).

8.4 Коллюзия/турниры

Аномальные корреляции результатов/ставок, повторяющиеся последовательности, частые матч-апы одних и тех же игроков.
Тайные «контрольные» столы/турниры для выявления сговоров.

9) Кейс-менеджмент и процесс расследований

Пайплайн: Алерт → Квалификация (L1) → Док-запрос/объяснения → Решение (L2/MLRO) → Действие (лимиты/блок/SAR, если нужно) → Пост-морем.

• High-risk WD/санкционный/платежный — ≤4–8 ч.
• ATO/безопасность — немедленно/≤2 ч.
• Бонус-абьюз — ≤24 ч.

Инструменты: приоритет очередей, шаблоны писем, «четыре глаза», WORM-хранилище решений, reason codes.

10) Архитектура решения

Event bus (реал-тайм): логины, депозиты, ставки, WD, изменения профиля.
Fraud service: правила + онлайн-ML скоринг (миллисекунды).
Feature store: онлайн/офлайн фичи с согласованностью.
Graph store: быстрый поиск связей и кластеров.
Case system: очередь, SLA, интеграции с саппортом/KYC/платежами.
Наблюдаемость: метрики/логи/трейсы, версия правил/моделей, канареечные раскатки.

11) Метрики и цели

Chargeback Rate / Net Fraud Loss (в % GGR/объема).
Precision/Recall алертов; False Positive Rate (особенно на логине/WD).
Time-to-Decision, Time-to-Payout (до и после мер).
Auto-clear / Manual-review rate.
ATO Containment Time и доля восстановленных аккаунтов.
Bonus Abuse Uplift (экономия) и ROI мер.
Affiliate Traffic Quality: CR→FTD→депозитор, WD-ratio, chargeback-by-affiliate.

12) Приватность, этика и UX

Минимизация данных, законные основания обработки; хранение ≥5 лет для доказательств.
Anti-bias: исключить чувствительные признаки; фичи — поведение/факты.
Объяснимость: reason codes в коммуникациях, понятные апелляции.
UX-баланс: мягкие проверки по умолчанию, эскалации по сигналам; не блокировать «чистых» зря.

13) Эксперименты и калибровка

A/B тесты правил и порогов ML; канареечные включения 5–10% трафика.
Матрицы затрат: цена FP vs FN, оптимизация порога по прибыли.
Периодическая перекалибровка (кв./мес.), контроль сезонности/кампаний.

14) Взаимодействие с платежами, KYC и AML

Платежи: pre-auth/3DS, верификация владельца, «same-method» для WD, трассировка.
KYC: ливнесс, NFC-чтение, повторная верификация при рисках.
AML: SAR/STR при обоснованном подозрении, санкционный рескрининг на WD, SOF/SOW на high-risk.

15) Чек-листы (операционные)

• Антибот + device fingerprint.
• Базовые правила гео/IP/BIN.
• KYC L1 (док + ливнесс), санкции/PEP.
• Стартовые лимиты, включенное RG.

• Рескрининг санкций/PEP.
• Совпадение владельца платежного средства.
• Проверка граф-связей и поведенческих аномалий.
• SOF при превышении порога.

• Срочная корректировка правил/порогов.
• Заморозка спорных выплат.
• Уведомление платежных партнеров/аффилиатов (по нужде).
• Пост-морем и обновление плейбуков.

16) Типичные ошибки и как их избежать

Перерегулирование (убийство конверсии) → ступенчатые меры, канареечные тесты.
Островные решения (нет шины/фиче-стора) → централизуйте фичи и события.
Нет обратной связи → обучайте модели на исходах кейсов/чарджбеков.
Игнор графа → пропускаются кластеры «ферм».
Отсутствие explainability → тяжелые апелляции, конфликт с саппортом/регулятором.

17) Пример матрицы действий по уровню риска

18) Внедрение (дорожная карта)

1. Определить цели (снижение чарджбеков/абьюза, TTP ATO), KPI и риск-аппетит.
2. Построить event bus, feature store, базовые правила и кейс-систему.
3. Подключить граф-хранилище и онлайн-скоринг ML.
4. Запустить канареечные тесты, настроить алерты и дрифт-мониторинг.
5. Обучить команды (саппорт/комплаенс/платежи), закрепить RACI.
6. Ежеквартально калибровать правила/модели, проводить аудит и ретро.

Итог

Эффективная борьба с фродом — это система: единая шина событий, фиче-стор, гибрид правил и ML, граф-аналитика, дисциплинированный кейс-менеджмент и продуманные интеграции с KYC/AML/платежами. Добавьте к этому UX-бережность, прозрачные метрики и регулярные эксперименты — и вы получите устойчивый контур, который снижает потери и сохраняет конверсию и доверие игроков.